データ適正消去実行証明協議会(ADEC）
　　　　　　　　　　 技術顧問　沼田理

さてさて、投げられたボールは受けねばならぬ訳で、12月に端を発した神奈川県の問題以来、我々ADEC（データ適正消去実行証明協議会）の周りが急に騒がしくなり、特に上原先生のTwitter（※1）で紹介されたのをきっかけに急に有名になった「データ消去技術ガイドブック」（※2）。これは上原先生のtwitter上で同時に紹介されているIDF（デジタル・フォレンジック研究会）のデータ消去分科会が「まっさらな、ゴミの入っていない、証拠保全用の電子記憶媒体作成のためのガイドライン」の作成を目的に調査活動を行った結果を基に2016年4月に、「データ抹消に関する米国文書（規格）及び HDD、SSD の技術解説」（※3）によって紹介した、世界で最も新しいデータ抹消の規格：NIST（米国標準技術研究所）の文書SP800-88Rev.1（以下SP800-88）を日本国内向けに適用することを目的に改編した内容を認めていただいた結果であると認識しています。

※1：https://twitter.com/tetsutalow/status/1204520231831404544
※2：https://adec-cert.jp/guidebook/pdf/DATAWIPEGUIDEBOOK.pdf
※3：https://digitalforensic.jp/wp-content/uploads/2016/02/technical-aspect.pdf

SP800-88のルーツは、UCSD（※4）のCMRR（Center for Magnetic Recording Research: 磁気記録研究センター）（※5）のData Sanitization Tutorial（※6）（日本語訳は、暇な翻訳者のページ（※7））で読むことができ、現在でもCMRRはNISTと深いつながりを持っています。

※4：カリフォルニア大学サンジエゴ校
※5：現在の名称はCenter for Memory and Recording Research
※6：https://cmrr.ucsd.edu/_files/data-sanitization-tutorial.pdf
2008年6月10日発表
※7：http://www002.upp.so-net.ne.jp/yt-hon/sanitize/sanitize.html

で、その結論として、

• （1）2001年以降に生産された、15GBytes以上のHDD（のOSから認識できる領域にあるデータ）は、研究の結果1回上書きするだけで効果的に消去できる。
• （2）更に効果的に広い範囲（（1）と、隠し領域：HPAやDCO、及びバッドセクタに対する再割り当て処理によりLBAを失ったセクタを含む）は、ATAコマンドのEnhanced Secure Eraseで消去できる。
• （3）しかし、HDDにはそのHDD自体が使用するファームウェア等を収納している、所謂システムエリア（SAとも呼ばれる）と、更に製造元のみがアクセス可能な、余剰な領域が存在するため、それらを含む完全な消去は不可能であり、この部分の情報も含めすべてのデータを完全に抹消するためには、技術論としても読み出しが不可能な様にしてしまうことが必要（物理破壊＝粉砕・溶解）となる。

と、結論付けられているのです。

参考：上記のSAと、製造元のみがアクセス可能な余剰な領域上に存在するデータについては、2015年2月に情報セキュリティ関連業者であるKasperskyが、https://blog.kaspersky.com/equationhddmalware/7623/　において、HDDのファームウェア領域に潜むマルウェアの存在を公表している。Googleも2016年2月に発表したレポートhttp://research.google.com/pubs/archive/44830.pdf において、「第一の一般的な問題は、最近のHDDの持つファームウェアのサイズと複雑さは、（HDDやホストを攻撃するセキュリティバグを含む）バグにつながるということである。HDDのファームウェアアタックは可能であるだけでなく、既に使われたようである。これを解決するために、ファームウェアの真正性を保証し、許可なく行われる改竄から保証することが容易でなければいけないことは明白であり、長期的には他のシステムに既に導入されているような堅固な防御技術を適用しなければならない。我々は、短期的にはディスクへの物理的アクセスを制限することや、ファームウェアを書き直す能力を持つホストOSから不正コードを隔離することによって、この問題に対する解決を図る。」と表明している。

要するに、最近の例を挙げるのであれば、「HUAWEI製品の5Gインフラでの使用を禁止するアメリカの方針のレベルに近い」とも言えるのではないでしょうか。

これによって、SP800-88では、

• （1）対応したデータ抹消をClear（消去）、
  一般的に入手できるツールを利用した攻撃に耐えられるレベル。
  対応策：上書き消去など
• （2）に対応するPurge（除去）
  研究所レベルのアタックに耐えられるレベル。
  対応策：Enhanced Secure Erase、暗号化消去、外部磁気等
• （3）の対応をDestroy（破壊）
  媒体の再生（再組立等）に耐えられるレベル。
  対応策：物理破壊（粉砕、溶解等）

とした、という流れなのです。

では、神奈川県の流出事件の原因と対策の観点ではどうなるのでしょうか。

業者の選定基準としてISMS（ISO/IEC27001）認証の取得を条件としているケースが見受けられるが（ブロードリンクも認証事業者）、そもそもISMSはマネージメントの基準であり、管理（マネージ）がどのように行われているかを審査・認証するものであるため、個別に存在するリスクの対策手法の規格ではないことを認識する必要がある。このように理解すれば、ISMS認証取得を選定時の条件とすることの無意味さが理解できるはず。
その上で、守るべき個別の最低条件を見極め、その対策を実現する具体的な手段を具体的に規定・ルール化することが必要であり、そのためには発注者にそれだけの知識が必要になることは避けることが出来ない。
そのため、ADECはデータ消去作業現場毎に審査を行なう、独自の消去プロセス認証制度を整えました。

技術論においては；
そもそも、物知りの皆さんが大好きな”DoDの3回上書き”の必要な理由は、 「元データの上書きデータからのはみ出し部分からの読み出しだ」と言う。
そして、「プラッタのデータを物理的手段（磁気力顕微鏡やスピンスタン ド）で使って読み出すことは、カナダのデータ復旧業者（Action Front⇒Seagate Recovery）が成功した例がレポートされている」と言う。（既に参照不能）
これは、実際に2001年以前の15GBytesレベルのHDDであれば、それら機器の解像力から、可能性が有ることが判断できる。
しかし、現在の記憶容量ではビットサイズ（面積比）はその頃の1/100以下まで小さくなっているので、SP800-88 においても、「2001年以降に製造された15GBytes 以上のATAディスクについては、上書き抹消を行う場合の上書き回数は1 回で十分である。」と明記している。
一方、HDDに最後に書き込んだデータのビットの大きは、そのはみだし幅の最大値の5倍以上の大きさがあるので、読み出せる可能性を排除することは出来ない。
そして、現在のHDDのデータトラックの幅は50nm程度であり、要するに1ミクロンに10トラック以上も存在する。
つまり、物理的に破砕したプラッタの破片からでも最後に書き込まれたデータは読み出すことの出来る可能性を有し、そのデータ量は無視できる程少ないとする認識は間違いである。

この理由により、複数回の上書きにこだわるのであれば、物理破壊する場合にも、処理を行なう前に、ソフトウェアによる上書きを行なうことなく物理破壊だけを行なうことを推奨するのは、大きな矛盾を持っていることを自覚する必要がある。

そして、外部磁気による消磁の場合、本当に消磁されていることは誰が証明しているのか？　実際に加えられた磁束は計測されているのか？　磁気シール等によって証明しようとしている業者も存在するようだが、磁気シールには定量的に磁束を測定する機能は存在しない。
HDDを動作させて確認しようとしても、スピンドルモータやヘッドの移動位置決めを行なうVCM（ボイスコイルモータ）の磁石も減磁しているので、動作させて確認することもできない。（HDDとして動作させ、読み出し不能と判定した場合でも、いい加減な消磁では、消磁後のプラッタ上に残存するデータが上記の磁気力顕微鏡やスピンスタンドをもってしても、読み出しが不可能であるとは言い切れないのだが。。。）

これらの装置はコンデンサの放電によって大電流パルスを発生させているが、充電時間は十分に取られたことをだれが証明するのか？電磁石にまかれている銅線の電気抵抗は、1℃の温度上昇で約0.4％増加する。連続作業を行い、20℃から60℃まで40度の温度上昇で16％抵抗が増加し、印可される電流も16％減少し、磁束も同じく16％減少する。そして、コンデンサの劣化も急速な充放電による影響が一番大きく影響する。

これらの現象を正しく認識して作られた装置（権威のある機関による認定を取得した装置）を、正しい知識をもって管理し、消去実行証明書が発行されていたとしても、証明書の作成までの作業に人の手の介在が存在する限り、不正な行為なく、正しく磁気消去が行われたことの証明をすることは出来ない。

そうすると、手前味噌では有りますが、ADECのように、「正しい認証を取得した事業所で、データ消去作業に人の手を介さず、自動的に作業の完了を通知し、エラー終了の警告も出すことの出来る、データ消去機能の検証を行い、認証されたデータ消去ソフトウェアの使用による消去証明書の発行をもって確認すること」が一番信頼できると考えることが正しいのではないのでしょうか。

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

＜ワンクリックアンケートお願い＞
今回のメールマガジン181号の感想をお寄せください。
http://bit.do/fuwgX
※googleアンケートフォームを利用しています。

【部会・WGからのお知らせ】

★社会活動部会「中小企業対策支援施策検討会（仮称）」が発足しました。
　ご興味ある方は、ぜひご参加下さい。
　初回検討会　日時：2月25日(火) 16:00-18:00
　会場：JNSA事務局　1F会議室
　ご参加ご希望の方は、JNSA事務局まで 　

【事務局からのお知らせ】

★「Black Hat Asia 2020」開催延期となりました。
　https://www.blackhat.com/asia-20/

★ 利用者のお立場別にご覧いただけるJNSA「成果物・報告書」検索ページを公開しましたので、ぜひご活用下さい。
　https://www.jnsa.org/result/search.html

★プレスリリース
　「RSAConference2020における日本パビリオン出展について」を公開
会員の方には展示会無償コードがありますので御希望の方はお問合せ下さい。
　https://www.jnsa.org/press/

★来年度の活動計画策定に向けて、、新たな活動テーマを募集いたします。
新ワーキンググループ設立の御提案ありましたら、事務局までお知らせ下さい。
　　

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

============================================================

☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡　<http://www.jnsa.org/aboutus/ml.html>

*************************************
JNSAメールマガジン　第181号
発信日：2020年2月21日
発　行：JNSA事務局　
*************************************